MalCrypt.Indus

Посетил меня сегодня сей добрый и пушистый зверек. (Не путать с песцом, хотя… Путайте, они друзья товарищи скорее всего)
Обнаружен был по неадекватной страсти к созданию копии exe-шника с расширением vir и размером чуть побольше оригинала. Был прибит, при попытке к размножению(надеюсь).
Его особые (и неочень) свойства:

  • Подменяет исполняемые файлы.
    Создает зараженную копию файла а потом тихонечко так ррраз и нету старого. Прощай мой патч для DMC3. Ты погиб, но жертва твоя не напрасна.
  • Прописывается в реестр – HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run с наглым именем System Rescue. имя файла в моем случае dllhosl.exe Производитель: BitDefender (От сволочи :) )
  • Его дроппер падает в %HOME%/Local Settings/Temp и антивирусом не определяется.
    Отличная причина зарезать запуск программ из временных папок.
  • Антивирус Comodo отлично различает его жертв, но дроппера и ту мелочь что сидела в автозагрузке не признает за вирус.
  • Пойман через эксплойт для ФФ 3.6.16 видимо с какого-то баннера (чтоб я еще раз без AdBlock и со включенными скриптами куда-то полез?!!!)

Вот как-то так. Желающим могу отдать в хорошие руки на анализы.

Запись опубликована в рубрике IT. Добавьте в закладки постоянную ссылку.

Оставить комментарий

Ваш email не будет опубликован. Обязательные поля отмечены *

Вы можете использовать это HTMLтеги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>